Ce puteți afla de la o antet de e-mail (metadate)?

Ați primit vreodată un e-mail și v-ați întrebat de unde provine? Cine la trimis? Cum ar fi putut ei să știe cine ești? În mod surprinzător, multe dintre aceste informații pot fi de la antetul de e-mail sau prin folosirea informațiilor din antetul de e-mail pentru a face o activitate de detectiv.

Antetul este o parte a mesajului de e-mail pe care majoritatea oamenilor niciodată nu-l vede niciodată. Acesta conține o mulțime de date care par a fi gobbledygook la utilizatorul obișnuit al computerului, astfel încât utilizarea e-mail-ului a devenit un instrument zilnic în viața fiecăruia, clienții de e-mail au început să ascundă aceste informații din dorința dumneavoastră. Aceste zile, poate fi chiar un pic dificil de a dezvălui antetul, chiar și pentru cei care știu că este acolo. Există atât de mulți clienți de e-mail diferiți, atât pe desktop, cât și pe bază de web, care pentru a acoperi modul de dezvăluire a antetului de e-mail ar putea deveni o carte mică. Astăzi, ne vom concentra pe modul de dezvăluire a antetului în Gmail și apoi vom examina ce putem culege din antetul.

Ce este o antet de e-mail?

Un antet de e-mail este o colecție de informații care documentează calea cu care ați primit e-mailul. Este posibil să existe o mulțime de informații în antet sau doar la elementele de bază. Există un standard pentru ce informații ar trebui incluse într-un antet, dar nu într-adevăr o limită a informațiilor pe care un server de e-mail le-ar putea pune în antet. Dacă sunteți curios despre cum arată un standard pentru un protocol de e-mail, consultați RFC 5321 - Simplu Mail Transfer Protocol. E cam greu în cap, mai ales dacă nu trebuie să știi chestiile astea.

Gmail - Deschideți antetul de e-mail

După ce ați deschis un mesaj de poștă electronică în Gmail, dați clic pe săgeata orientată în jos lângă colțul din dreapta sus al mesajului. Va apărea un nou meniu. Faceți clic pe Afișați originalul pentru a vedea mesajul e-mail brut cu conținutul său complet și antetul dezvăluit.

Va deschide o nouă fereastră sau o filă și veți vedea, bineînțeles, o versiune de text simplu a e-mailului dvs. cu antetul de sus. Conținutul antetului va arăta astfel:

Livrat la: [email protected]
Primit: de 10.223.200.70 cu id SMTP ev6csp162209fab;
Mon, 29 Jul 2013 14:15:09 -0700 (PDT)
X-primit: de 10.236.227.202 cu SMTP id d70mr27737943yhq.86.1375132508769;
Mon, 29 Jul 2013 14:15:08 -0700 (PDT)
Calea de intoarcere:
Primit: de la mx21.exchange.telus.com (MX21.exchange.telus.com [205.206.208.34])
de către mx.google.com cu ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
pentru
(versiunea = cifrul TLSv1 = biti RC4-SHA = 128/128);
Mon, 29 Jul 2013 14:15:08 -0700 (PDT)
Received-SPF: neutru (google.com: 205.206.208.34 nu este nici permisă, nici refuzată de cea mai bună înregistrare de ghici pentru domeniul [email protected]) client-ip = 205.206.208.34;
Autentificare-Rezultate: mx.google.com;
spf = neutru (google.com: 205.206.208.34 nu este nici permisă, nici refuzată de cea mai bună înregistrare de ghici pentru domeniul [email protected]) [email protected]
X-IronPort-Anti-Spam-filtrat: adevărat
Rezultatul X-IronPort-Anti-Spam: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos;”4.89,772,1367992800" ;
d =”jpg'145 scan'145,208,217,145" ? a =”14712973"
Primit: de la necunoscut (HELO mail.exchange.telus.com) ([205.206.210.187])
de către mx21.exchange.telus.com cu ESMTP / TLS / AES128-SHA; 29 Iul 2013 15:15:07 -0600
Primit: de la HEXMBVS12.hostedmsx.local ([10.9.6.115]) prin
HEXHUB13.hostedmsx.local ([:: 1]) cu mapi; Mon, 29 Jul 2013 15:13:48 -0600
De la: Guy McDowell
La: “[email protected]”
Data: Luni, 29 Iul 2013 15:15:03 -0600
Subiect: Ce este o antet de e-mail?
Subiect-Subiect: Ce este o antet de e-mail?
Indexul firului: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ ==
ID-ul mesajului: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>
Accept-Limba: en-US
Limba de conținut: en-US
X-MS-Has-Attach: Da
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Tipul de conținut: mai multe părți / asociate;
= limita”_004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_”;
type =”multipart / alternativă”
Versiunea MIME: 1.0

Este frumos. Ce inseamna asta?

Cum se creează antetul de e-mail?

Cunoscând modul în care antetul este creat de-a lungul căii, un e-mail călătorește, veți dezvolta o mai bună înțelegere a datelor antetului. Să ne uităm la piesele pe care le adăugăm și la cele mai importante părți.

Pe calculatorul expeditorului

O parte din antet este creată atunci când expeditorul creează e-mailul pentru a trimite destinatarului. Acestea vor include informații precum e-mailul, compunerea, subiectul și destinatarului. Aceasta este o parte din antetul pe care îl cunoașteți cel mai bine ca Data :, De la :, Către: și Subiect: linii în partea de sus a e-mailului.

De la: Guy McDowell
La: “[email protected]”
Data: Luni, 29 Iul 2013 15:15:03 -0600
Subiect: Ce este o antet de e-mail?

În serviciul de e-mail al expeditorului

Mai multe informații se adaugă la antet odată ce e-mailul este trimis. Acest lucru este furnizat de serviciul de e-mail pe care expeditorul o folosește. În acest caz, expeditorul utilizează un serviciu de e-mail găzduit, astfel încât adresa IP afișată este o adresă internă a rețelei furnizorului de servicii. Efectuarea unei căutări WHOIS nu va furniza informații utile. Ce putem face este să efectuăm o căutare Google pe numele serverului HEXMBVS12.hostedmsx.local și putem constata că furnizorul de servicii este Telus. Dacă facem niște sapaturi pe site-ul Telus, vom descoperi că oferă un serviciu Hosted Microsoft Exchange. Acest lucru sugerează că expeditorul utilizează probabil Microsoft Outlook, Outlook Express sau Outlook Web Access. Informațiile adăugate aici includ adresa IP a expeditorului ([10.9.6.115]), ora trimisă de serviciul de e-mail al expeditorului (Mon, 29 Jul 2013 15:13:48 -0600) și ID-ul mesajului pentru acel mesaj mesaj adăugat de serviciul de e-mail.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local).
Primit: de la HEXMBVS12.hostedmsx.local ([10.9.6.115]) de HEXHUB13.hostedmsx.local ([:: 1]) cu mapi; Mon, 29 Jul 2013 15:13:48 -0600
ID-ul mesajului: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

Pe drum către serviciul de e-mail al destinatarului

De acolo, e-mailul poate lua orice număr de rute pentru a ajunge la serviciul de e-mail al destinatarului. Acest lucru poate fi adăugat în antetul pentru a afișa "hamei" pe care e-mailul a trebuit să o facă pentru a ajunge la dvs. Aceste hamei încep de la serverul care a gestionat cel mai recent e-mailul și a revenit la serverul care la tratat inițial, în ordine cronologică inversă. În acest exemplu, toate hamele sunt interne la serviciul de e-mail al expeditorului.

Al treilea și ultimul hop

Primit: de la mx21.exchange.telus.com (MX21.exchange.telus.com [205.206.208.34])
de către mx.google.com cu ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
pentru
(versiunea = cifrul TLSv1 = biti RC4-SHA = 128/128);
Mon, 29 Jul 2013 14:15:08 -0700 (PDT)
Received-SPF: neutru (google.com: 205.206.208.34 nu este nici permisă, nici refuzată de cea mai bună înregistrare de ghici pentru domeniul [email protected]) client-ip = 205.206.208.34;
Autentificare-Rezultate: mx.google.com;
spf = neutru (google.com: 205.206.208.34 nu este nici permisă, nici refuzată de cea mai bună înregistrare de ghici pentru domeniul [email protected]) [email protected]
X-IronPort-Anti-Spam-filtrat: adevărat
Rezultatul X-IronPort-Anti-Spam: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos;”4.89,772,1367992800" ;
d =”jpg'145 scan'145,208,217,145" ? a =”14712973"

Al treilea Hop Explicație
Acesta este hopul care o duce de la Telus la serverul destinatarilor de e-mail. Putem spune că a fost primit de către mx.google.com, astfel încât destinatarul are serviciul de e-mail cu Google. Aici este bine să notați linia Primit-SPF: SPF sau Sender Policy Framework, este un standard prin care serverul de e-mail al unui expeditor se poate declara ca fiind expeditorul legitim al e-mailului. În acest caz, calificatorul este neutru, ceea ce înseamnă că nu se poate spune nimic despre validitatea acestui e-mail, bun sau rău. Dacă ar fi înregistrat ca eșua, ar fi fost respins de serverele Gmail. Dacă ar fi softfail, Gmail ar fi acceptat-o, dar a semnalat că este posibil să nu fie de la cine spune că este de la.

Chiar și sub aceasta, veți vedea de asemenea trei linii care încep cu X-IronPort-Anti-Spam. Primul, X-IronPort-Anti-Spam-filtrat: adevărat, este atacat de aparatul anti-spam IronPort de la Telus. IronPort face parte din Cisco, deci este considerat a fi destul de fiabil. X-IronPort-Anti-Spam-Rezultat line este destinată numai aparatelor IronPort și nu poate fi decodificată pentru ochii oamenilor - dacă nu lucrați pentru Cisco și nu trebuie să o decodificați. Al treilea, X-IronPort-AV, arată că expeditorul are propriul aparat anti-spam de la Sophos. S-ar putea să fi citit McAfee sau Norton, sau orice filtru va trece e-mailul. În calitate de destinatar, acest lucru vă poate oferi o mai mică încredere că e-mailul este valabil.

Hopa secundă

Primit: de la necunoscut (HELO mail.exchange.telus.com) ([205.206.210.187])
de către mx21.exchange.telus.com cu ESMTP / TLS / AES128-SHA; 29 Iul 2013 15:15:07 -0600

A doua explicație a hamei
Este evident aici că Telus este furnizorul de servicii. Dacă există vreo îndoială în acest sens, efectuați o verificare WHOIS pe adresa IP afișată: 205.206.210.187. Veți găsi că adresa IP duce și la Telus. Asta vă dă un pic mai multă încredere că e-mailul este legitim. Putem de asemenea să spunem că mesajul a durat puțin peste un minut pentru a merge de la primul hop la cel de-al doilea hamei. Asta nu ne spune foarte mult dacă nu ești inginer de rețea. Teoretic, ai putea calcula cam cât de departe sunt cele două servere.

Primul Hop

Primit: de la HEXMBVS12.hostedmsx.local ([10.9.6.115]) prin
HEXHUB13.hostedmsx.local ([:: 1]) cu mapi; Mon, 29 Jul 2013 15:13:48 -0600

Prima explicație Hop
Primul hop este serverul de e-mail al expeditorului care primește mesajul său de e-mail. În acest moment, e-mailul se mișcă încă în interiorul rețelei serverului de e-mail al expeditorului. Puteți spune că adresa IP începe cu 10. Adresele IP care încep cu 10 sunt rezervate doar pentru uz intern.

La serverul de e-mail al destinatarului

Livrat la: [email protected]
Primit: de 10.223.200.70 cu id SMTP ev6csp162209fab;
Mon, 29 Jul 2013 14:15:09 -0700 (PDT)
X-primit: de 10.236.227.202 cu SMTP id d70mr27737943yhq.86.1375132508769;
Mon, 29 Jul 2013 14:15:08 -0700 (PDT)
Calea de intoarcere:

Odată ce ajunge la serviciul de e-mail al destinatarului, se adaugă mai multe informații în antet - care dintre serverele de servicii de e-mail ale destinatarului le-a primit și când, ce server de e-mail a primit mesajul, adresa de e-mail a destinatarului destinatar și răspunsul " la adresa de e-mail. înapoi în al treilea hop, am văzut că serviciul de e-mail al destinatarului a fost cu Google. Putem spune că acest e-mail a fost primit de un server intern și trimis pe altul - 10.236.227.202 până la 10.223.200.70. Cel mai important, putem spune de către Calea de intoarcere: că e-mailul pentru a răspunde și e-mailul expeditorului este același. Acest lucru ne spune, de asemenea, că există o șansă bună ca acest e-mail să fie legitim.

Alte lucruri de la alte titluri

Acest antet special de e-mail este limitat în informațiile sale, deoarece este utilizat un serviciu de e-mail găzduit. Dacă expeditorul folosea propriul server de e-mail, s-ar putea să obținem puțin mai multe informații. S-ar putea să putem determina exact ce client de mail folosesc. Sau am putea efectua un WHOIS pe adresa IP a expeditorului și vom obține o locație aproximativă a expeditorului. De asemenea, am putea efectua o simplă căutare web pe domeniul expeditorului și să vedem dacă există un site web pentru aceștia. Bazându-ne pe site-ul respectiv, vom putea afla mai multe informații despre expeditor. Puteți efectua o căutare web pe adresa de e-mail și începe să doxing persoana. Dacă nu sunteți familiarizat cu conceptul de "doxing" vă familiarizați cu Joel Lee Ce este doxing și cum afectează dvs. de confidențialitate? Ce este doxing și cum afectează confidențialitatea dvs.? [Explicarea MakeUseOf] Ce este Doxing și cum afectează confidențialitatea dvs.? [Explicația MakeUseOf] Intimitatea pe Internet este o afacere uriașă. Unul dintre avantajele declarate ale Internetului este că puteți rămâne anonim în spatele monitorului în timp ce răsfoiți, discutați și faceți ceea ce faceți ... Citește mai mult De asemenea, citiți articolul lui Ryan Dube, 15 site-uri pentru a găsi persoane pe Internet 12 site-uri web pentru a găsi persoane de pe Internet 12 site-uri web pentru a găsi persoane de pe Internet Dacă sunteți în căutarea pentru un prieten de mult pierdut, sau poate doriți să faceți un control de fond pe cineva, ia în considerare aceste resurse gratuite pentru a găsi oameni pe internet . Citeste mai mult .

Cumpărați

Toate comunicațiile electronice lasă amprente. Unele sunt mai mari și mai ușor de urmărit. Unele sunt ascunse de filtrele web și serverele proxy. În orice caz, ceea ce este lăsat în urmă ne spune ceva despre persoana care le-a creat. Din metadatele respective, am putea efectua investigații suplimentare pentru a afla mai multe despre persoanele implicate. Sunt ascunse ceva folosind un VPN? Sunt într-adevăr de la o afacere legitimă, cu o prezență web legitimă? Este cineva cu care vreau cu adevărat să merg la o întâlnire? Ce pot învăța oamenii obișnuiți despre mine, să nu mai vorbim de ANS?

Aruncați o privire la anteturile dvs. de e-mail și vedeți ce spun ei despre dvs. Dacă găsiți câteva linii de antet care nu au prea mult sens, puneți-le în comentarii și vom încerca să le decodificăm. A trebuit să faceți niște investigații antet de e-mail? Spune-ne despre asta! Așa învățăm toți.

Credit de imagine: Server Room by torkildr prin Flickr.

Explorați mai multe despre: Sfaturi pentru e-mail, metadate.